11个审查Linux是否被入侵的方法
11个审查Linux是否被入侵的方法
一、检查系统日志
lastb命令
检查系统错误登陆日志,统计IP重试次数
二、检查系统用户
1、cat /etc/passwd
查看是否有异常的系统用户
2、grep “0” /etc/passwd
查看是否产生了新用户,UID和GID为0的用户
3、ls -l /etc/passwd
查看passwd的修改时间,判断是否在不知的情况下添加用户
4、查看是否存在特权用户
awk -F: ‘$3= =0 {print $1}’ /etc/passwd
5、查看是否存在空口令帐户
awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow
三、检查异常进程
1、注意UID为0的进程
使用ps -ef命令查看进程
2、察看该进程所打开的端口和文件
lsof -p pid命令查看
3、检查隐藏进程
- ps -ef | awk ‘{print }’ | sort -n | uniq >1
- ls /porc |sort -n|uniq >2
- diff 1 2
四、检查异常系统文件
- find / -uid 0 –perm -4000 –print
- find / -size +10000k –print
- find / -name “…” –print
- find / -name “.. “–print
- find / -name “. “ –print
- find / -name “ “ –print
五、检查系统文件完整性
- rpm –qf /bin/ls
- rpm -qf /bin/login
- md5sum –b 文件名
- md5sum –t 文件名
六、检查RPM的完整性
- rpm -Va #注意相关的/sbin,/bin,/usr/sbin,/usr/bin
输出格式说明:
S – File size differs
M – Mode differs (permissions)
5 – MD5 sum differs
D – Device number mismatch
L – readLink path mismatch
U – user ownership differs
G – group ownership differs
T – modification time differs
七、检查网络
- ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)
- lsof –i
- netstat –nap(察看不正常打开的TCP/UDP端口)
- arp –a
八、检查系统计划任务
- crontab –u root –l
- cat /etc/crontab
- ls /etc/cron.*
九、检查系统后门
- cat /etc/crontab
- ls /var/spool/cron/
- cat /etc/rc.d/rc.local
- ls /etc/rc.d
- ls /etc/rc3.d
十、检查系统服务
- chkconfig —list
- rpcinfo -p(查看RPC服务)
十一、检查rootkit
- rkhunter -c
- chkrootkit -q
转载:原文:http://www.centoscn.cn/2663.html
11个审查Linux是否被入侵的方法的更多相关文章
- Linux 主机被入侵后的处理案例
Linux主机被入侵后的处理案例 提交 我的留言 加载中 已留言 一次Linux被入侵后的分析 下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootkit攻击是Lin ...
- IEEE802.11数据帧在Linux上的抓取
IEEE802.11数据帧在Linux上的抓取终于得到了梦寐的<802.11无线网络权威指南>,虽然是复印版本,看起来也一样舒服,光看书是不行的,关键还是自己练习,这就需要搭建一个舒服的实 ...
- linux系统被入侵后处理经历【转】
背景 操作系统:Ubuntu12.04_x64 运行业务:公司业务系统,爬虫程序,数据队列. 服务器托管在外地机房. 突然,频繁收到一组服务器ping监控不可达邮件,赶紧登陆zabbix监控系统查看流 ...
- 记一次Linux系统被入侵的过程
记一次Linux系统被入侵的过程 1. 前期现象 前期现象,宋组那边反应开发环境192.161.14.98这台机器通过公网下载文件,很慢,ping百度丢包严重.因为这台机器是通过楼下adsl拨号上网, ...
- Linux服务器被入侵后的处理过程(转发阿良)
Linux服务器被入侵后的处理过程 突然,频繁收到一组服务器 ping 监控不可达邮件,赶紧登陆 zabbix 监控系统查看流量状况. 可见流量已经达到了 800M 左右,这肯定不正常了,马上尝试 ...
- linux下定时执行任务方法【转】
之前就转过一篇关于定时任务的文章,前俩天用,还的翻出来看!!!再转一次,备用,,需要的时候不用麻烦找! ----------------------------------------------- ...
- Linux安全事件应急响应排查方法总结
Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非 ...
- Linux的段错误调试方法
linux段错误的调试方法 相关博文: http://blog.csdn.net/htianlong/article/details/7439030 http://www.cnblogs.com/pa ...
- [Linux/Ubuntu] vi/vim 使用方法讲解(转载)
转自:http://www.cnblogs.com/emanlee/archive/2011/11/10/2243930.html vi/vim 基本使用方法 vi编辑器是所有Unix及Linux系统 ...
随机推荐
- [LeetCode] Find K Pairs with Smallest Sums 找和最小的K对数字
You are given two integer arrays nums1 and nums2 sorted in ascending order and an integer k. Define ...
- [LeetCode] Sort Transformed Array 变换数组排序
Given a sorted array of integers nums and integer values a, b and c. Apply a function of the form f( ...
- 如何创建一个简单的Visual Studio Code扩展
注:本文提到的代码示例下载地址>How to create a simple extension for VS Code VS Code 是微软推出的一款轻量级的代码编辑器,免费,开源,支持多种 ...
- 安卓 Handler
1. 看视频有关Handler操作,没有用过,里面的老师也没有讲(新手太难了) 查了一下资料. 一.Handler的定义: 主要接受子线程发送的数据, 并用此数据配合主线程更新UI. 解释:当应用程序 ...
- Vue2.0组件间数据传递
Vue1.0组件间传递 使用$on()监听事件: 使用$emit()在它上面触发事件: 使用$dispatch()派发事件,事件沿着父链冒泡: 使用$broadcast()广播事件,事件向下传导给所有 ...
- gpu对任意长度的矢量求和
blockDim.x*gridDim.x 跳过一个grid int <<<参数1,参数2>>>(int *a,int * b,int * c); 如果是一维的,参数 ...
- Azure IaaS限制
每个云服务最多运行 50 个虚机 每个云服务最多有 150 个输入 endpoints
- 【转】封装原生JS实现Ajax
function createXHR() { if (window.XMLHttpRequest) { //IE7+.Firefox.Opera.Chrome 和Safari return new X ...
- Silverlight 后台设置 button 纯色背景
silverlight Button直接设置其background为某一颜色往往达不到效果.因为其内置模板把按钮背景弄成一个渐变画刷.所以想要纯色的背景就修改其模板. 在后台修改模板的代码如下: St ...
- 蓝牙4.0(BLE)开发
转载请注明出处 http://blog.csdn.net/pony_maggie/article/details/26740237 作者:小马 IOS学习也一段时间了,该上点干货了.前段时间研究了一下 ...